International Journal of Digital Evidence (Fall 2006)

Hidden Disk Areas : HPA an d DCO

forensic‐proof. com proneer

16/11/2009 Outline

1. Introduction

2. Host Protected Area

3. Device Configuration Overlays

4. Host Protected Area

5. Co‐existence of HAP and DCO

6. ItitiInvestigative Signifi cance

page 1 HPA and DCO

Other Transfer Maximum Other Standard Names Modes (MB/s) disk size New Features

pre‐ATA IDE PIO 0 2.1 GB 22‐bit LBA

ATA‐1 ATA, IDE Single‐word DMA 137 GB 28‐bit LBA

EIDE, Fast ATA, ATA‐2 Multi‐word DMA PCMCIA connector Fast IDE, Ultra ATA

ATA‐3 EIDE Single‐word DMA S.M.A.R.T

AT Attachment Packet Interface(ATAPI), ATA‐4, ATA/ATAPI‐4 Ultra DMA 0, 1, 2 Host Protected Area(HPA), CompactFlash Ultra ATA/33 Association(CPA)

ATA‐5 ATA/ATAPI‐5 Ultra DMA 3, 480‐wire cables; CompactFlash connector Ultra ATA/66 48‐bit LBA, Device Configuration ATA‐6, ATA/ATAPI‐6 Ultra DMA 5 144 PB Ol(DCO)Overlay(DCO), AiAutomatic AAicoustic Ultra ATA/100 Management ATA‐7, Ultra DMA 6 ATA/ATAPI‐7 SATA 101.0 Ultra ATA/133 aka SATA/150

ATA/ATAPIpage‐ 82 ATA‐8 ‐ Hybrid drive Introduction

HPA and DCO

9 Host Protected Area(Hidden Protected Area)

9 HDD(Hard Disk Drive)에 의해 예약된 영역

9 OS, BIOS 에 의해 보이지 않는 영역

9 ATA(Advanced Technology Attachment) -4 부터 등장

9 사용자, BIOS, OS가 쉽게 수정하거나 변경할 수 없는 영역의 필요

9 일반적으로 HDD utilities, diagnostic tools, boot sector code 저장

page 3 Introduction

HPA and DCO

9 Device Configuration Overlay

9 HDD 제조사로부터 구입한 HDD를 모두 같은 섹터로 만드는 것이 가능

9 80 GB HDD를 BIOS, OS 모두 60 GB 의 HDD로 보이도록 구성 가능

page 4 Introduction

Issue for forensic investigators

9 HPA와 DCO에 정보가 저장된 경우 일반적으로 BIOS, OS, 사용자는 접근 불가

9 포렌식 수사관들에게는 해당 영역 파악 필요

9 HDD 이미지의 경우에도 HPA와 DCO를 고려하여 이미징 해야 함

9 HPA 영역에서 탐지를 피하는 ROOTKIT 존재

page 5 Introduction

Why?

9 HDD는 출시전 품질 테스트

9 250 GB HDD는 물리적으로 500 GB의 HDD와 같을 수 있음

9 단, 120 GB 품질 테스트만 통과했기 때문에 120 GB로 판매

9 HDD 관리를 위해 포맷을 해도 지워지지 않는 영역이 필요

page 6 Host Protected Area

page 7 Host Protected Area

Use

9 BIOS와 함께 HPA에 접근하기 위한 유틸리티 존재

9 Phoenix FirstBIOS

ƒ BEER((ggBoot Engineering Extension Record)

ƒ PARTIES(Protected Area Run-Time Interface Extension Services)

9 CD or DVD 없이 OS가 로드되기 전에 시스템 복구 목적으로 활용

9 IBM, LG 노트북 등에서는 복구 소프트웨어 저장 용도로 사용

page 8 Host Protected Area

ATA Command

ACTUAL HARD DRIVE SIZE

HARD DRIVE SIZE HPA

9 HPA 접근하기 위한 ATA 컨트롤러 명령어 :

ƒ IDENTIFY DEVICE

ƒ SET MAX ADDRESS (EXT)

ƒ READ NATIVE MAX ADDRESS (()EXT)

page 9 Host Protected Area

page 10 Device Configuration Overlays

Introduction

9 ATA-6 표준에서 처음 소개

9 PC 제조사들은 서로 다른 HDD를 구입하여 같은 용량으로 만듦

9 DCO 접근하기 위한 ATA 컨트롤러 명령어 :

ƒ DEVICE CONFIGURATION SET : DCO 설정

ƒ DEVICE CONFIGURATION IDENTITY : DCO 접근

ƒ DEVICE CONFIGURATION RESTORE : DCO 제거

page 11 Co‐existence of HPA and DCO

Collision?

9 HPA와 DCO는 동일한 HDD에 존재 가능

ƒ DEVICE CONFIGURATION SET을 통해 DCO 설정 후

ƒ SET MAX ADDRESS (EXT) 를 통해 HPA 구성

9 READ NATIVE MAX ADDRESS (EXT)와 DEVICE CONFIGURATION IDENTIFY 의

비교를 통해 DCO 적용 여부 확인

HARD DRIVE SIZE HPA DCO

IDENTIFY_DEVICE

READ_NATIVE_MAX_ADDRESS

DEVICE_CONFIGURATION_IDENTIFY

page 12 Identification & Manipulation

Identification Tools

9 The Sleuth Kit (free, open software) by Brian Carrier. (HPA Linux‐only)

9 The ATA Forensic Tool(TAFT) by Arne Vidstrom

9 EnCase for DOS by Guidance Software

9 Access Data’s Forensic Toolkit

9 HD Tune Pro

page 13 Identification & Manipulation

Identification Methods to Linux

page 14 Identification & Manipulation

Manipulation tools – HDAT2

http://www.hdat2.com/

page 15 Identification & Manipulation

Manipulation tools – Feature Tool by Hitachi Global Storage Technologies

http://www.hitachigst.com/hdd/support/download.htm#FeatureTool

page 16 Identification & Manipulation

Manipulation tools – MHDD by Dmitry Postrigan

http://hddguru.com/

page 17 Identification & Manipulation

Manipulation tools – hdparam(linux program) & setmax(by Andries E. Brouwer)

9 hdparm ‐ http://sourceforge.net/projects/hdparm/

9 setmax ‐ http://www.win.tue.nl/~aeb/linux/setmax.c

page 18 Investigative Significance

Forensic Tools

Tool Progg/rammer/Vendor Version(()Now)

The Sleuth Kit Brian Carrier 2.02 (3.01)

ATA Forensic Tool Arne Vidstrom 111.1 (1.2)

EnCase Guidance Software 4.20 (6.13)

page 19 Investigative Significance

EnCase for Windows vs The Sleuth Kit for Linux

9 EnCase for Windows 의 경우 HPA/DCO를 지원하지 않음

9 동일한 HDD를 대상으로 EnCase for Windows와 The Sleuth Kit for Linux 이미징

9 두 이미지에 대한 MD5 checksum 값이 불일치

Î 대상 HDD는 리눅스 시스템을 통해 HPA/DCO를 포함하여 수집해야 함

page 20 Tips

Increase the Capacity of a HDD

9 준비물 : Ghost 2003 B uild 2003 .775 (t(not pat thd)ched), HDD * 2 (둘다 OS 설치)

1. T를 마스터로 잡고X를 슬레이브로 잡는다. 파일 시스템 타입이 양쪽 드라이브 모두(NTFS 같아야 혹은 한다FAT32 등등) 2. Ghost 2003 build 2003.775 를 T 드라이브에 표준설정으로 설치한다. 필요하다면 재부팅한다. 3. Ghost를열 고Ghost Basic을 선택한다. 옵션 리스트에서Backup을 선택한다. C:\ (하드드라이브 T에서 파티션을 없애려 는 드라이브)를 선택해 백업한다. second 드라이브를 타겟으로 선택한다. 아무 이름이나 입력하고reboot이 나 올 때까지 OK – Continue 혹은 Next를 클릭한다. 4. 재부팅이 시작되면DOS나 드라이버가 로딩되기PC 전에를 셧다운 시켜야. 가장 한다 좋은 방법은BIOS가뜨 고 하 드 디 스크를 detect하는 순간 전원을 빼어 버리는. 것이다 5. Ghost가 백업하기 전에 셧다운. 이제 시켰다 마스터로 설치했던 하드 드라이브T를 제거하고 드라이브X를 설치한다. 하 드 드라이브T를 secondary 드라이브로 설치한다. X는 마스터가 되고 부팅이 가능하게 되었을. 컴퓨터 것이다 관리– 디\ 스크 관리로 간다. T 드라이브에 VPSGHBOOT 혹은 비슷한 라벨이9메가 붙은 파티션과 이전에는 보이지 않았던 스페이 스가 보일 것이다. 아직은 VPSGHBOOT 를 제거해서는 안된다! 6. T 드라이브의 할당되지 않은 스페이스를 선택해primary 새로운 혹은 extended 파티션을 생성한다. 좋아하는 파일 시스템 타입을 선택하고quick format(만일 옵션이 있다면)으로 포맷한다. 포맷이 완성되면 드라이브에서VPSGHBOOT 파티션 을 제거한다. 7T7. T 드라이브에 다음과 같은 것이 보일 것이다: a. 드라이브에 숨겨진 파티션이 있었을 당시의 오리지널 파티션 b. 방금 복구한 새로운 파티션 스페이스 c8c. 8 메가의 할당되지 않은 파티션 8. T 드라이브를 primary 하드디스크로 잡고 싶으면 디스크 관리자로 가서 오리지널(위의 a)을 파티션 활 성 파티션으로 설정

page 21 http://www.hackerslab.org/ Conclusion

9 OS, BIOS로부터 보이지 않는 HPA, DCO는 사용자에 의해 변경 가능

9 HDD를 통한 증거 수집 시 ATA 버전과 HPA, DCO 지원 여부가 고려되어야 함

page 22 In My Opinion…

9 HDD 복제나 이미징의 경우 미리 HPA, DCO 존재 여부 파악 필요

9 ECEnCase 사용시 ECEnCase fDOSfor DOS 를 통한 증거 수집 홍보

9 DDI(DFRC Disk Imaging) for DOS 개발 필요

page 23 Question and Answer

page 24